[发明专利]一种采用黑白名单进行分析的工控信息安全监控系统

权利要求书

1.一种采用黑白名单进行分析的工控信息安全监控系统，其特征在于：所工控信息安全监控系统由以下步骤组成：

S1、初始样本库采集：监控装置采集现场监控网络上所有数据包，并分析该数据包获取七元组信息，可根据样本库设置白名单规则和资产列表；

S2、黑名单规则形成及报警产生：内置入侵检测规则库，当监控装置进行数据包解析时发生特征匹配时，会产生入侵检测的报警，用户能够查看每条规则的详细信息，包括行为、描述以及处理建议；

S3、白名单规则形成及报警产生：将样本库中的资产转成资产白名单，资产白名单就是合法资产的列表，没有列为白名单的资产就是非法资产，无论什么通信行为，都会立刻报警，报警的类别为未知设备，在已经配置资产白名单的基础上，可以将样本库中的通信行为转成通信白名单，通信白名单指将合法的通信行为添加到白名单规则，没有列为通信白名单的就是非法通信行为，可以通过智能学习方式，结合黑名单规则，自动分析生成通信白名单规则，当发生的通信行为不在白名单规则范围内，都会立刻报警，报警的类别为未知通信行为；

S4：通信白名单的智能生成：通过长时间的学习，系统掌握网络中数据变化的动态，具体到每一个资产与其他设备间通信的变化与规律，结合排除黑名单检测结果的基础，形成高准确度的通信白名单规则，减少系统误报率，加强检测的精确度；

S5、协议规则形成及报警产生：协议规则遵守白名单规则的原则，在配置完资产白名单规则、通信白名单规则之后，产品会对这个白名单内的资产的通信行为进行工业协议分析，得到协议白名单，在不配置规则的情况下，指令变更、组态变更、负载变更都会自动报警，阈值报警是需要配置正确范围才能发生报警；

S6、可视化报警以及报表展示：对现场监控的所有设备进行管理，并根据现场设备及网络状况半自动生成网络拓扑图，发现报警及时在该设备上闪烁红色标志以明确定位报警设备，报表展示功能是对报警日志、流量日志进行分析、分类统计，最终通过图表形式展示呈现。

2.如权利要求1所述的一种采用黑白名单进行分析的工控信息安全监控系统，其特征在于：所述S2中的黑名单规则形成是指一个基于模式匹配的网络入侵检测系统，所述模式匹配，是与状态分析相对应的，指系统预先定义一些入侵检测的特征码，将实际数据包与特征码相匹配，以判断检测数据包是否包含了一个入侵的行为，可检测入侵行为包括病毒、木马、拒绝服务攻击、WEB攻击、DNS攻击、ARP攻击、端口扫描、缓冲区溢出攻击、FTP攻击、ICMP攻击等。

3.如权利要求1所述的一种采用黑白名单进行分析的工控信息安全监控系统，其特征在于：所述S1中的样本库指的是通过系统对网络中原始数据的采集，并进行层层解析，样本库存储数据帧源MAC、目的MAC、源IP、目的IP、源端口、目的端口以及协议类型的七元组信息。

4.如权利要求1所述的一种采用黑白名单进行分析的工控信息安全监控系统，其特征在于：所述S3中的资产白名单具有展示资产名称、资产IP、资产类型、描述，以及修改添加删除功能，主要通过数据采集后，根据客户需求，把合法的目标IP、源IP转换成合法资产，不在此合法资产内的资产产生数据通讯行为，就会有报警信息产生。

5.如权利要求1所述的一种采用黑白名单进行分析的工控信息安全监控系统，其特征在于：所述S3中的通信白名单具有展示源IP、源端口、目标IP、目标端口、协议类型、应用的协议类型以及添加修改删除功能，主要通过数据采集后，把合法的源IP、源端口、目标IP、目标端口转入合法的通讯，不在此业务通讯中的则会产生报警。

6.如权利要求1所述的一种采用黑白名单进行分析的工控信息安全监控系统，其特征在于：所述S5中的协议白名单为展示Modbus协议、Opc协议、S7协议、Iec103协议、Iec104协议 、Cip协议、Fins协议，可以配置控制参数白名单，阈值参数配置，其中S7协议、Modbus协议具有上传下载规则和通讯状态监测功能，配置工控协议后，分析数据包会根据这些配置来进行报警。